Recentemente o Leon explicou um dos métodos usados neste corte.
Mas já ouvi também de outros YouTubers que envolve um pouco de engenharia social para convencer a rodar um programa no computador da pessoa e roubar a sessão do navegador.
Por isso não é gerado um alerta de login ou mesmo sequer é usada a autenticação de duas etapas porque a sessão já está logada. No entanto, acredito que há uma brecha muito grande por parte do Google em não checar atividades suspeitas quando o dispositivo ou localização muda radicalmente.